STM32MPx Series Signing Tool Sagteware

Produk inligting

Spesifikasies:

• Produk Naam: STM32MP-SignTool
• Weergawe: UM2543 – Ds 4
• Vrystellingsdatum: Junie 2024

Produkgebruiksinstruksies

Installasie:
Om STM32MP-SignTool te installeer, volg die stappe wat in die gebruikershandleiding verskaf word.

Opdraglyn-koppelvlak:
Die volgende opdragte is beskikbaar wanneer STM32MP-SignTool vanaf die opdragreël gebruik word:

• –binêre beeld(-bin), –invoer(-in)
• -beeld-weergawe (-iv)
• -privaat-sleutel (-prvk)
• -publieke sleutel -pubk

Examples:
Verwys na die examples hieronder om te verstaan ​​hoe om STM32MP-SignTool effektief te gebruik:

1. Example 1: Verstek algoritme seleksie en uitvoer file skepping.
2. Example 2: Teken van 'n binêre file met kop weergawe 2 en veelvuldige publieke sleutels.

Selfstandige modus:
Wanneer u STM32MP-SignTool in selfstandige modus gebruik, volg hierdie stappe:

1. Voer eers die absolute pad in.
2. Verskaf die vereiste inligting soos algoritmeseleksie, beeldweergawe, toegangspunt en laaiadres.

Gereelde Vrae (Gereelde Vrae)

• Hoe verifieer ek die uitsetbeeld file?
  U kan die gevolgde prent verifieer deur die uitvoer te ontleed file en kontroleer elke kopveld. Gebruik die opdrag:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
• Wat is die verskil tussen kopweergawes vir ondertekening?
  Die kopweergawe bepaal die aantal publieke sleutels wat benodig word vir stawing. Byvoorbeeldample, kopweergawe 1 vereis een sleutelpad vir STM32MP15xx-produkte, terwyl kopweergawe 2 en groter agt sleutelpaaie vir ander vereis.

Inleiding

• Die STM32MPx-reeks ondertekeningsinstrumentsagteware (genaamd STM32MP-SignTool in hierdie dokument) is geïntegreer in die STM32CubeProgrammer (STM32CubeProg).
• STM32MP-SignTool is 'n sleutelinstrument wat 'n veilige platform waarborg en die ondertekening van binêre beelde verseker met behulp van ECC-sleutels wat deur STM32MP-KeyGen-sagteware gegenereer word (verwys na die gebruikershandleiding STM32MPx-reeks sleutelgeneratorsagtewarebeskrywing (UM2542) vir meer besonderhede).
• Die getekende binêre beelde word gebruik tydens die STM32MPx-reeks MPU-veilige opstartvolgorde wat 'n betroubare selflaaiketting ondersteun. Hierdie aksie verseker 'n verifikasie en integriteitskontrole van die gelaaide beelde.
• STM32MP-SignTool genereer 'n binêre beeld file, 'n publieke sleutel file, en 'n private sleutel file.
• Die binêre beeld file bevat die binêre data wat vir die toestel geprogrammeer moet word.
• Die publieke sleutel file bevat die ECC publieke sleutel in PEM-formaat, gegenereer met STM32MP-KeyGen.
• Die private sleutel file bevat die geënkripteerde ECC-privaatsleutel in PEM-formaat, gegenereer met STM32MP-KeyGen.
• 'n Getekende binêre file kan ook gegenereer word vanaf 'n reeds ondertekende file met die bondel file modus. In hierdie geval is die volgende parameters nie verpligtend nie: die beeldintreepunt, die beeldlaaiadres en die beeldweergawe-parameters.

Installeer STM32MP-SignTool

• Hierdie instrument is geïnstalleer met die STM32CubeProgrammer-pakket (STM32CubeProg). Vir meer inligting oor die opstelprosedure, verwys na afdeling 1.2 van die gebruikershandleiding STM32CubeProgrammer sagteware beskrywing (UM2237).
• Hierdie sagteware is van toepassing op die STM32MPx-reeks Arm®-gebaseerde MPU's.
  Let wel: Arm is 'n geregistreerde handelsmerk van Arm Limited (of sy filiale) in die VSA en/of elders.

STM32MP-SignTool opdragreëlkoppelvlak

Die volgende afdelings beskryf hoe om STM32MP-SignTool vanaf die opdragreël te gebruik.

Opdragte
Die beskikbare opdragte word hieronder gelys:

• –binêre beeld(-bin), –invoer(-in)
  • Beskrywing: binêre beeld file pad (.bin-uitbreiding)
  • Sintaksis: 1 -bin /huis/Gebruiker/binêrFile.bin
  • Sintaksis :2 -in /huis/Gebruiker/binêrFile.bin
• -beeld-weergawe (-iv)
  • Beskrywing: voer die prentweergawe van die getekende prent in file
  • Sintaksis: -iv
• -privaat-sleutel (-prvk)
  • Beskrywing: privaat sleutel file pad (.pem-uitbreiding)
  • Sintaksis: -pvkfile_pad>
  • Example: -prvk ../privateKey.pem
• -publieke sleutel -pubk
  • Beskrywing: publieke sleutel file paaie
  • Sintaksis: -pubkFile_Pad{1..8}>
    • Vir kop v1: gebruik net een sleutelpad vir STM32MP15xx-produkte
    • Vir kop v2 en groter: gebruik agt sleutelpaaie vir ander
• -wagwoord (-pwd)
  • Beskrywing: wagwoord van die private sleutel (hierdie wagwoord moet ten minste vier karakters bevat)
  • Example: -pwd azerty
• –laai-adres (-la)
  • Beskrywing: beeld laai adres
  • Example: -la
• -intreepunt (-ep)
  • Beskrywing: beeld ingangspunt
  • Example: -ep
• -opsie-vlae (-van)
  • Beskrywing: prentopsievlae (verstekwaarde = 0)
  • Example: -van
• -algoritme (-a)
  • Beskrywing: spesifiseer een van die prime256v1 (waarde 1, verstek) of brainpoolP256t1 (waarde 2)
  • Example: -a <2>
• –uitvoer (-o)
  • Beskrywing: uitset file pad. Hierdie parameter is opsioneel. Indien nie gespesifiseer nie, die uitset file word by dieselfde bron gegenereer file pad (bvample, die binêre beeld file is C:\BinêrFile.bin). Die getekende binêre file is C:\BinêrFile_Geteken.bin.
  • Sintaksis: -oFile_Pad>
• –tipe (-t)
  • Beskrywing: binêre tipe. Moontlike waardes is ssbl, fsbl, teeh, teed, teex en copro
  • Sintaksis: -t
• -stil (-s)
  Beskrywing: geen boodskap vertoon vir die vervanging van 'n bestaande uitset nie file
• –help (-h en -?)
  Beskrywing: wys hulp
• –weergawe (-v)
  Beskrywing: vertoon die nutsweergawe
• –enc-dc (-encdc)
  • Beskrywing: enkripsie-afleidingskonstante vir FSBL-enkripsie [header v2]
  • Sintaksis: -encdc
• –enc-sleutel (-enck)
  • Beskrywing: OEM geheim file vir FSBL-enkripsie [header v2]
  • Sintaksis: -enck
• –dump-header (–dump)
  • Beskrywing: ontleed en stort prentkopskrif
  • Sintaksis: -dumpFile_Pad>
• –kop-weergawe (-hv)
  • Beskrywing: ondertekeningkopweergawe, moontlike waardes: 1, 2, 2.1, 2.2
  •  Example vir STM32MP15: -hv 2
  • Example vir STM32MP25: -hv 2.2
• -geen-sleutels (-nk)
  • Beskrywing: voeg leë kopskrif by sonder sleutelopsies
  • Kennisgewing: moet die verifikasie-opsie deaktiveer met Opsievlae-opdrag.

Examples vir STM32MP-SignTool
Die volgende exampLese wys hoe om STM32MP-SignTool te gebruik:

• Example 1 

  
  Die verstekalgoritme (prime256v1) is gekies en die opsievlagwaarde is 0 (verstekwaarde). Die getekende uitset binêre file (BinêrFile_Signed.bin) word in die /home/user/-lêergids geskep

• Example 2

  Die BrainpoolP256t1-algoritme word in hierdie geval gekies. Selfs as Folder2 en Folder3 nie bestaan ​​nie, word hulle geskep. Met die –s-opdrag, selfs as a file met dieselfde gespesifiseerde naam bestaan, word dit outomaties vervang sonder enige boodskap.
• Example 3
  Teken 'n binêre file gebruik kop weergawe 2 wat agt publieke sleutels vir die verifikasievloei insluit.
• Example 4
  Teken 'n binêre file gebruik opskrif weergawe 2 wat agt publieke sleutels vir verifikasie plus enkripsievloei insluit.
• Example 5
  Verifieer die gevolgde prent deur die uitset te ontleed file en kontroleer elke kopveld.
• Example 6
  Voeg 'n kopskrif by sonder om te onderteken en sonder om sleutels te ontplooi.

Selfstandige modus
Wanneer STM32MP-SignTool in Standalone-modus uitgevoer word, moet 'n absolute pad eers ingevoer word. 'n Wagwoord word dan twee keer vir bevestiging versoek, soos in die figuur hieronder getoon.

Die volgende stappe is die volgende:

• Kies een van die twee algoritmes.
• Voer die beeldweergawe, die beeldingangspunt en die beeldlaaiadres in.
• Voer die opsievlagwaarde in.
  Nog 'n uitset file pad kan gespesifiseer word indien nodig, of druk enter om voort te gaan met die bestaande een.

PKCS#11 oplossing

• Die getekende binêre beelde word gebruik tydens die STM32MP veilige opstartvolgorde wat 'n betroubare selflaaiketting ondersteun. Hierdie aksie verseker 'n verifikasie en integriteitskontrole van die gelaaide beelde.
• Die klassieke ondertekeningsopdrag versoek dat alle publieke en private sleutels as invoer verskaf word files. Dit is direk toeganklik vir enige persoon wat toegelaat word om die ondertekeningsdiens uit te voer. Uiteindelik kan dit as 'n sekuriteitlek beskou word. Daar is verskeie oplossings om sleutels te beskerm teen enige pogings om sleuteldata te steel. In hierdie konteks is die PKCS#11-oplossing aangeneem.
• Die PKCS#11 API kan gebruik word om kriptografiese sleutels te hanteer en te stoor. Hierdie koppelvlak spesifiseer hoe om met kriptografiese toestelle soos HSM'e (hardeware-sekuriteitsmodules) en slimkaarte te kommunikeer. Die doel van hierdie toestelle is om kriptografiese sleutels te genereer en inligting te teken sonder om privaatsleutelmateriaal aan die buitewêreld te openbaar.
• Sagtewaretoepassings kan die API oproep om hierdie voorwerpe te gebruik vir:
  • Genereer simmetriese/asimmetriese sleutels
  • Enkripsie en dekripsie
  • Bereken en verifieer die digitale handtekening
• PKCS #11 bied aan toepassings 'n algemene, logiese view van die toestel wat 'n kriptografiese teken genoem word en dit ken 'n gleuf-ID aan elke teken toe. 'n Toepassing identifiseer die teken waartoe dit toegang wil hê deur die toepaslike gleuf-ID te spesifiseer.
• Die STM32SigningTool word gebruik om die sleutelvoorwerpe wat op slimkaarte en soortgelyke PKCS#11-sekuriteittokens gestoor is, te bestuur waar sensitiewe private sleutels nooit die toestel verlaat nie.
• Die STM32SigningTool gebruik die PKCS#11-koppelvlak om invoerbinêres te manipuleer en te onderteken gebaseer op ECDSA publieke/private sleutels. Hierdie sleutels word gestoor in sekuriteittokens (hardeware of sagteware).

Bykomende PKCS#11-opdragte

• –module (-m)
  • Beskrywing: spesifiseer 'n PKCS#11-module/biblioteekpad om te laai (dll, dus)
  • Sintaksis:-m
• –sleutel-indeks (-ki)
  • –sleutel-indeks (-ki)
  • Beskrywing: lys van gebruikte sleutels-indekse in hex-formaat
    Gebruik een indeks vir kop v1 en agt indekse vir kop v2 (geskei deur spasie)
  • Sintaksis: -ki
• –gleufindeks (-si)
  • Beskrywing: spesifiseer die indeks van die gleuf om te gebruik (verstek 0x0)
  • Sintaksis:-si
• –active-keyIndex (-aki)
  • Beskrywing: spesifiseer die werklike aktiewe sleutel indeks (verstek 0)
  • Sintaksis: -aki < hexValue >

PKH/PKTH file generasie
Na die verwerking van die ondertekening, genereer die instrument stelselmatig die PKH files om te gebruik na vir OTP lont.

• PKH file genaamd pkcsHashPublicKey0x{active_key_index}.bin vir kop v1
• PKTH file genaamd pkcsPublicKeysHashHashes.bin vir kop v2

Examples
Die instrument kan invoer onderteken files vir beide kop v1 en kop v2, met 'n minimale verskil in die opdragreël.

• Opskrif v1 

  

• Opskrif v2 

  

  • 'n Fout op die opdragreël, of 'n onvermoë van die instrument om die sleutelobjekte te identifiseer wat ooreenstem, veroorsaak dat 'n foutboodskap vertoon word. Dit dui die bron van die probleem aan.
  • Die SigningTool kan slegs voorafgekonfigureerde HSM'e gebruik, en dit is nie ontwerp om nuwe sekuriteitsvoorwerpe te bestuur of te skep nie. Daarom is dit nodig om gratis sagteware te installeer om 'n geskikte omgewing op te stel. Die sleutels kan dan gegenereer word, en inligting oor voorwerpe verkry word.

Fout bvamples:

• Ongeldige gleufindeks
• Onbekende sleutelvoorwerp wat in –key-index-opdrag genoem word
  Die instrument behandel die voorwerpe opeenvolgend. As dit nie die ooreenstemmende sleutelobjekte met die eerste probeerslag kan identifiseer nie, stop die ondertekeningsoperasie die proses. 'n Foutboodskap word dan vertoon om die bron van die probleem aan te dui.

Hersieningsgeskiedenis

Datum	Weergawe	Veranderinge
14-2019 Feb	1	Aanvanklike vrystelling.
26-Nov-2021	2	Opgedateer: • Afdeling 2.1: Opdragte • Afdeling 2.2: Examples vir STM32MP-SignTool • Bygevoeg Afdeling 2.4: PKCS#11 oplossing
27 Junie 2022	3	Opgedateerde afdeling 2.1: Opdragte
26 Junie 2024	4	Vervang in die hele dokument: • STM32MP1-reeks deur STM32MPx-reeks • STM32MP1-SignTool deur STM32MP-SignTool • STM32MP1-KeyGen deur STM32MP-KeyGen Opgedateer –public-key -pubk en bygevoeg –header-weergawe (-hv) en –no-keys (- nk) in Afdeling 2.1: Opdragte. Bygevoeg "Voorbeeld 6" in Afdeling 2.2: Bvamples vir STM32MP-SignTool.

BELANGRIKE KENNISGEWING – LEES SORGVULDIG

• STMicroelectronics NV en sy filiale (“ST”) behou die reg voor om enige tyd sonder kennisgewing veranderinge, regstellings, verbeterings, wysigings en verbeterings aan ST-produkte en/of hierdie dokument aan te bring. Kopers moet die nuutste relevante inligting oor ST-produkte bekom voordat hulle bestellings plaas. ST-produkte word verkoop ingevolge ST se verkoopsbepalings en -voorwaardes wat ten tyde van bestellingserkenning in plek is.
• Kopers is alleen verantwoordelik vir die keuse, seleksie en gebruik van ST-produkte en ST aanvaar geen aanspreeklikheid vir aansoekbystand of die ontwerp van kopers se produkte nie.
• Geen lisensie, uitdruklik of geïmpliseer, tot enige intellektuele eiendomsreg word hierin deur ST toegestaan ​​nie.
• Herverkoop van ST-produkte met bepalings anders as die inligting wat hierin uiteengesit word, sal enige waarborg wat deur ST vir sodanige produk verleen word, nietig verklaar.
• ST en die ST-logo is handelsmerke van ST. Vir bykomende inligting oor ST-handelsmerke, verwys na www.st.com/trademarks. Alle ander produk- of diensname is die eiendom van hul onderskeie eienaars.
• Inligting in hierdie dokument vervang en vervang inligting wat voorheen in enige vorige weergawes van hierdie dokument verskaf is.
  © 2024 STMicroelectronics – Alle regte voorbehou

Dokumente / Hulpbronne

ST STM32MPx-reeks tekengereedskapsagteware [pdfGebruikershandleiding STM32MPx-reeks tekengereedskapsagteware, STM32MPx-reeks, tekengereedskapsagteware, gereedskapsagteware, sagteware

Verwysings

• Gebruikershandleiding